A più di un anno dall’entrata in vigore del GDPR un aspetto appare ormai consolidato: tutti i titolari del trattamento, indipendentemente dalle dimensioni o peculiarità, devono adeguarsi alle disposizioni dettate dal regolamento europeo. Quindi, la questione riguarda anche le PMI. Utile approfondire cosa significa rispettare i dettami del GDPR, cosa bisogna fare per essere a norma.
Indice degli argomenti
PMI e GDPR: le prassi e i dubbi
Le misure minime, quell’allegato B ormai defunto, hanno avuto un grande merito in Italia: portare la certezza e la tranquillità a chi voleva adeguarsi. Era infatti sufficiente rispettare le 29 misure indicate e seguire qualche corso di formazione per chiudere il discorso “privacy”.
Certezza e tranquillità: grande azienda con centinaia di dipendenti, piccola officina con pochi operai, centro medico con migliaia di pazienti, per tutti il livello da raggiungere per dirsi adeguati era il medesimo.
Il GDPR ha rimesso in discussione una prassi consolidata a partire dall’affezione alla tanto nota e diffusa password di 8 caratteri, diventata spesso inadeguata a tutelare uno strumento informatico.
È dunque normale riscontrare disorientamento in chi, per la prima volta, si approccia al principio di accountability o quando ci si confronta con i nuovi principi dettati dal GDPR per determinare le misure di sicurezza.
Dopo il fisiologico periodo di attecchimento del regolamento alle prassi e alle strutture a cui si dovrebbe applicare, appare oggi normale chiedersi cosa occorre fare per rispettarlo in toto e per raggiungere quel livello di piena compliance senza i 29 punti dell’Allegato B.
Finita l’epoca del “tutto uguale per tutti”, le aziende devono implementare misure di sicurezza commisurate alle proprie caratteristiche, ai dati personali trattati e ai rischi che gli interessati potrebbero correre.
Ormai orfani dell’Allegato B la strada verso l’adeguamento per le PMI sembra lastricata di incertezze e i dubbi iniziano ad assalire i vari titolari: con quale frequenza è opportuno effettuare il backup dei miei dati? È fondamentale posizionare il server in una sala CED blindata o è sufficiente installarlo in un angolo del magazzino? L’archivio delle fatture può rimanere sempre aperto o devo ingaggiare una guardia armata che lo sorvegli tutto il giorno?
Ma soprattutto, la domanda che assilla più di ogni altra: la password, quanto deve essere lunga e ogni quanto tempo la devo modificare? L’approccio dominante oggi è quello di continuare a seguire con fiducia cieca le misure imposte ormai quindici anni fa. Nel dubbio spesso si rimane attaccati al passato, pensando erroneamente che le misure di sicurezza possano essere le medesime di quando un PC top di gamma montava 512 MB di RAM, un hard disk da 60 GB, i CD e i DVD erano i supporti removibili più utilizzati e gli smartphone iniziavano la loro lenta ascesa con le loro fotocamera VGA e connessioni GPRS.
Discorso a parte merita la cosiddetta “cartellina della privacy”: redatta nel lontano 2003 e da allora dimenticata, i responsabili o referenti più coraggiosi sono intenti a recuperarla dall’entrata in vigore del GDPR.
Ma l’approccio da seguire è abbastanza comune: generalmente si incarica un consulente, si aggiornano le informative che si invieranno indistintamente a tutti, si firmano le varie nomine e l’adeguamento al Regolamento è raggiunto.
La cartellina è aggiornata e di nuovo pronta per essere dimenticata. Ma è sufficiente questa impostazione? È sufficiente continuare a rispettare le misure minime di sicurezza e aggiornare la documentazione relativa alla “privacy”?
PMI e GDPR, come adeguarsi
Per rispondere a queste domande occorre innanzitutto riprendere in mano il regolamento europeo e analizzare approfonditamente l’articolo 5, forse passato in secondo piano rispetto alle altre novità quali l’introduzione della figura del DPO, la DPIA e il registro dei trattamenti.
L’articolo in questione ci indica infatti quali debbano essere i principi applicabili al trattamento di dati personali: in particolare i principi di liceità, correttezza e trasparenza; le limitazioni delle finalità; la minimizzazione dei dati; il principio di esattezza; la limitazione della conservazione; i principi di integrità e riservatezza.
Non ci si discosta molto, quindi, dai principi cardine del D.lgs. 196/2003 che hanno guidato la tutela del dato personale fino all’entrata in vigore del Reg. UE.
Al punto 2 del medesimo articolo si trova la grande rivoluzione introdotta dal GDPR: «il titolare del trattamento è competente per il rispetto del paragrafo 1 (i punti di cui sopra) e in grado di comprovarlo».
Viene così introdotto nel panorama italiano quello che è un principio tipicamente anglosassone: la “responsabilizzazione” o “accountability”. Nessun elenco di misure minime né indicazioni precise e chiare da rispettare, è finita l’epoca della certezza e della tranquillità.
La logica sottesa a questo principio è chiara e condivisibile: sono inutili le misure di sicurezza uguali per tutti i titolari e lo sono altresì gli elenchi dettagliati di accorgimenti che, a breve distanza di tempo dalla loro emanazione, sono già superati o parzialmente inefficaci data la velocità di evoluzione tecnologica.
L’importanza dell’accountability
Dunque, il cardine intorno al quale tutto ruota è l’accountability: caro titolare a te la responsabilità di valutare i tuoi trattamenti, la tua struttura, il tuo contesto e decidere cosa fare e come meglio farlo, implementando le idonee misure tecniche e organizzative; a te l’onere di dimostrare in ogni momento l’efficacia delle scelte effettuate.
Le grandi aziende, tenuto conto delle strutture complesse, del gran numero di dipendenti, della vasta platea di clienti e fornitori e della necessità di dover gestire spesso tali aspetti in sedi diverse, hanno seguito un approccio totalmente diverso rispetto a quello dettato dall’Allegato B, un approccio tarato non tanto sulle misure minime di sicurezza quanto sulle misure necessarie per tutelare il proprio know-how, la propria continuità operativa e i propri dati personali.
La logica sottesa a tale comportamento non era di rispettare pedissequamente il Codice della Privacy ma di rispondere adeguatamente alla complessità organizzativa, al contesto tecnologico e far fronte, difendendosi al meglio, ai numerosi tentativi di attacco di tipo informatico.
Le PMI si sono invece limitate, molto spesso, a rispettare l’Allegato B, nella profonda convinzione che fosse sufficiente per rispettare la normativa, evitare sanzioni e rendere il sistema informatico sicuro.
È inevitabile che sia difficile approcciare alla nuova metodologia e alla filosofia introdotta dal Regolamento Europeo, ed è comprensibile la difficoltà nell’abbandonare la prassi della password di 8 caratteri modificata ogni 6 mesi per intraprendere quella incerta e confusa del “decidi tu”.
Occorre dunque un cambio di passo, una lenta inversione di concezione della “privacy” e del suo ruolo in azienda. Il tempo in cui era sufficiente “sfogliare” i documenti una volta all’anno e avere la cartellina con le informative aggiornate è definitivamente terminato: il GDPR richiede ben altro. Da dove iniziare allora?
Il primo step: l’assessment
Primo passo: assessment. Indipendentemente dalle dimensioni dell’azienda occorre analizzare ogni aspetto connesso con il trattamento dei dati personali: ufficio per ufficio sarà necessario recuperare tutte le informazioni per comprendere appieno come vengono raccolti i dati personali, come vengono gestiti e trattati, come vengono archiviati, conservati e quando, se esiste un quando, vengono cancellati.
L’assessment risulta fondamentale per redigere un primo organigramma privacy, indispensabile strumento per avere un quadro chiaro di “chi fa che cosa”, internamente o esternamente, sui dati personali per conto del titolare.
Fatta la necessaria chiarezza sui processi si può procedere con la redazione del registro dei trattamenti.
È vero che il GDPR non impone a tutti la sua redazione, ma lo stesso Garante ne ha consigliato la tenuta. Esso diventa infatti lo strumento indispensabile per approfondire i trattamenti effettuati, valutarne i rischi, deciderne le misure di sicurezza: il cuore del percorso di adeguamento.
Uno strumento che permette ai controllori di comprendere velocemente com’è strutturata l’azienda e al titolare di individuare le aree critiche e implementare strumenti e misure in grado di mitigare quelle criticità.
Naturale evoluzione del DPS, il registro dei trattamenti dovrà essere costantemente aggiornato, integrato, modificato e rivisto.
Elaborando assessment e registro si può procedere con l’aggiornamento della documentazione: dalle informative all’individuazione dei soggetti autorizzati a trattare i dati, dalle procedure alle istruzioni fornite ai responsabili del trattamento, tutti i documenti obbligatori possono essere a questo punto redatti grazie alle informazioni raccolte.
PMI e GDPR: rispettare l’accountability
Fino a questo punto si tratta di un processo molto simile a quello già visto dal 2003 con i primi adeguamenti al Codice della Privacy.
Credenza diffusa è che una volta raggiunto questo livello il percorso sia terminato: aggiornata la documentazione, inviata la nuova informativa a clienti e fornitori, chiuso a chiave il cassetto rimasto aperto dal 2003, allora è possibile archiviare la pratica GDPR.
Questo approccio, ereditato dalle misure minime di sicurezza, non è più sufficiente a rispettare l’accountability.
Fino ad oggi l’obiettivo era fondamentalmente quello di raggiungere il livello indicato dall’Allegato B, una volta raggiunto non occorreva più interrogarsi se fare qualcos’altro dato che l’adeguamento era garantito.
La responsabilizzazione indicata dal GDPR e l’assenza di misure minime stravolge totalmente questo impianto: non ci sono più livelli da raggiungere, non ci sono più scadenze preimpostate.
Tutto è rimesso alla volontà del titolare del trattamento che deve, «tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, […] mette[re] in atto misure tecniche e organizzative adeguate a garantire, ed essere in gradi di dimostrare, che il trattamento è effettuato conformemente al presente regolamento.
Dette misure sono riesaminate e aggiornate qualora necessario». L’articolo 24 indica dunque la strada che il titolare deve perseguire.
Il considerando 74 si spinge anche ad affermare che il titolare, responsabile di qualsiasi trattamento effettuato direttamente o da altri per suo conto, è tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità della attività di trattamento con il regolamento, compresa l’efficacia delle misure adottate.
Queste disposizioni indicano dunque quello che è il terzo step di adeguamento, che si discosta totalmente dall’approccio classico.
Il quesito a cui rispondere è il seguente: come dimostrare che sono state implementate le misure tecniche e organizzative adeguate a garantire che i trattamenti effettuati siano conformi al regolamento? Come verificare, ad esempio, che la misura adottata anni prima sia ancora adeguata, in considerazione dell’inevitabile evoluzione tecnologica? Come registrare che la misura organizzativa scelta sia ancora funzionale nonostante, ad esempio, i nuovi dipendenti assunti durante l’anno?
La risposta non può consistere nell’avere il “faldone della privacy” che prende polvere sullo scaffale e nemmeno nell’aver aggiornato al GDPR le nomine e le informative. La risposta è un percorso di valutazione costante tramite audit dedicati ad ogni singolo trattamento effettuato in azienda.
PMI e GDPR: l’audit sul trattamento
Ecco che ritorna allora il registro dei trattamenti, la “mappa” che aiuterà il titolare ad analizzare le operazioni effettuate sui dati, verificare le misure di sicurezza implementate, esaminando chi siano i soggetti interni ed esterni che trattano i dati e accertandone le competenze, la formazione e le eventuali istruzioni impartite o da impartire.
Sarà necessario quindi effettuare un audit sul trattamento, elaborando un piano di intervento che analizza puntualmente l’impianto privacy, che preveda di adeguare costantemente le misure di sicurezza in base ai rischi che corrono gli interessati coinvolti.
La classica domanda “che tipologia di password utilizzare” va finalmente in pensione, sostituita da “quale password è necessario adottare per tutelare quello specifico strumento utilizzato per quel particolare trattamento”.
Tale approccio permette dunque di superare la visione, diffusa ancora oggi, che la privacy sia un inutile dispendio di risorse e di tempo: l’adeguamento al GDPR e la conseguente gestione dei dati diventa un percorso che abbraccia ogni aspetto del management aziendale.
È tutta qui la rivoluzione di cui sopra: prima il Codice della Privacy chiedeva quantomeno il rispetto delle misure minime che permettevano di tutelare il dato, ora il GDPR richiede di tutelare il dato attraverso delle misure di sicurezza da valutare caso per caso.
Per raggiungere questo risultato occorre analizzare le procedure, l’impianto informatico, la gestione dei dipendenti e la loro formazione, le linee guida e i regolamenti, la documentazione, le modalità di archiviazione; occorre dunque valutare tutti i processi e tutta la struttura aziendale.
La gestione della privacy diventa dunque una macro-area che abbraccia ogni aspetto del sistema: per proteggere il dato personale è inevitabile e necessario proteggere il know-how, regolamentare in maniera precisa la gestione dei dipendenti e degli strumenti ad essi affidati, preoccuparsi di cyber security, di sicurezza fisica degli archivi e degli assets informatici.
Occorre dunque analizzare ogni aspetto della struttura aziendale. Ecco quindi che la “cartellina della privacy” può ora andare in pensione dopo 15 anni di onorato servizio, sostituita da un percorso di adeguamento costante che permetterà all’azienda, sia essa micro, piccola o media, di migliorare la propria struttura informatica, di implementare procedure e buone prassi, di formare costantemente il personale su tematiche specifiche, di tutelare sempre gli interessati di cui tratta dati.
I vantaggi per le PMI
Intraprendere questo percorso permette innanzitutto di adeguarsi e rispettare il Regolamento Europeo e di non incorrere in sanzioni, cosa non da poco considerando che il periodo transitorio di otto mesi avviatosi con il D.lgs. 101/2018 di settembre è ufficialmente terminato.
Ma ci sono altri elementi che dovrebbero incentivare una piccola e media impresa ad intraprendere questa strada e di adottare un sistema di audit continuativo. Tale impostazione permette, infatti, di organizzare un impianto in grado di rispondere adeguatamente ad eventuali attacchi o violazioni.
I grandi casi di data breach, su tutti quelli avvenuti in Unicredit, British Airways e Capital One, hanno creato clamore. Tuttavia, l’attacco informatico non è rivolto solo ed esclusivamente ai big player.
Ogni giorno, in ogni azienda e in ogni parte d’Italia giungono, solo per citare una modalità d’attacco, mail sospette o allegati “strani”, è sufficiente una disattenzione per subire una violazione. Cosa comporta questo? Quanto può costare in termini di tempo e risorse reagire in maniera scomposta ad un attacco informatico?
Non sempre il consulente IT è in grado di “metterci una pezza”, magari le copie di backup non sono aggiornatissime o non sono funzionanti, probabilmente la reazione è partita troppo tardi.
Dunque, perdita di tempo e risorse: giornate di lavoro sprecate solo per ritornare operativi, risorse umane dedicate al ripristino dei dati perduti. Ancora perdita di denaro: l’attaccante potrebbe richiedere un riscatto per decriptare i file o potrebbe aver intercettato fondi destinati all’azienda a cui si aggiunge l’eventuale sanzione del Garante per non aver segnalato in tempo o affatto il data breach.
Infine, perdita d’immagine: clienti che non ricevono in tempo la merce, fornitori non pagati, stipendi inviati con ritardo. Nella peggiore delle ipotesi potrebbe essere anche necessario comunicare l’avvenuto data breach a tutti gli interessati coinvolti: perdita di tempo e risorse, di denaro e d’immagine.
L’adeguamento al GDPR permette di ridurre il rischio di subire violazioni grazie al costante monitoraggio della struttura aziendale e alla formazione continua del personale che tratta i dati e permette di reagire prontamente ad un eventuale violazione tramite le apposite procedure.
Tutto questo si traduce in minori risorse perse, sanzioni evitate e danno all’immagine scongiurato.
Adeguarsi oggi al Regolamento Europeo è un investimento, è un percorso che permette non solo di rispettare una norma ma di avviare un processo che, innestandosi in tutte le dinamiche aziendali, permette di migliorare i processi, strutturare procedure, formare il personale, migliorare la sicurezza informatica, gestire adeguatamente i flussi di lavoro cartaceo.
Valutare periodicamente ogni aspetto della struttura aziendale permette infatti di carpirne i punti deboli e di poter intervenire per risolverli, impedendo che tali debolezze, col passare del tempo, possano diventare forti criticità.
Con un piano di audit costante un’azienda, anche di piccolissime dimensioni, potrà quindi evitare non solo le sanzioni ed essere dunque pronta all’eventuale controllo, ma potrà rispondere adeguatamente alle sfide, alle minacce e alle possibilità che le nuove tecnologie propongono.
Conclusione
Definitivamente chiusa la stagione del D.lgs. 196/2003 siamo ormai pienamente entrati nell’era del GDPR. Il grande salto dalle misure prestabilite all’accountability è dunque avvenuto.
Si sta finalmente lacerando quella convinzione che ha spinto molte aziende a non adeguarsi e tante altre ad aggiornare semplicemente le informative nella certezza che quella password di otto caratteri, modificata ogni sei mesi, fosse la panacea per ogni controllo.
Non è più così e non lo sarà più. Inutile aggiornare le informative, superfluo nominare autorizzati e responsabili se questo non è accompagnato da un reale e profondo percorso di adeguamento al GDPR.
Non interessa più vedere cosa si è fatto ma il perché, quali sono le logiche e le motivazioni dietro ogni scelta, decisione e misura adottata.
L’unico modo per poterlo dimostrare non è la cartellina documentale ma un preciso e strutturato percorso di adeguamento che permetta all’azienda di evitare che la cristallizzazione di una scelta possa tradursi in una criticità in futuro; che la misura adottata oggi possa essere, dopo pochi mesi, inefficace o controproducente; che tutti i soggetti che trattano dati siano stati non solo “nominati” ma adeguatamente formati o istruiti in base ai trattamenti da loro svolti.
È necessario dunque strutturare e avviare un vero e proprio piano di auditing volto a misurare, valutare e gestire i rischi insiti nello specifico trattamento, rischi che possono colpire sia l’azienda che il soggetto interessato.
